ow SENATI & Capitulo Vi Gestién de unidades organizativas y usuarios eels reece Im Ercteger contenedor contre eliminaciin ac Por defecto, las unidades organizativas tendran un atributo de proteccién llamado Proteger contenedor contra eliminacién accidental, que evita se pueda borrar el objeto usando el comando Eliminar de los menus o barras de herramientas, y deberé desactivarlo antes de proceder con su eliminacién. 5. Haga clic en Aceptar y observard que se ha creado la unidad organizativa en eldominio. aang 1 il sulin 1 Eel Grwutes te il bonan cenvalee Fh reregrcecrtrnpels cr Bobs Ahora puede crear mas unidades organizativas dentro de ouSENATI. Actividad 1 1. Crea el siguiente grupo de unidades organizativas. GB ourcnins: BH oucontabi GE oFinenzas (BB outbastecinients GE ovARHH Gi ousistemas Programa Nacional de Informética vor& Administracién y Mantenimiento de Windows Server 2008 SENATI Actividad 2 1. Crear el siguiente grupo de unidades organizativas Gi ousenart 15 BD oupreccornaconel (il ostbestec (Bl adreccin BB auzenalaneasy (Bi) oDreccorzonet ( oPNtZonel EL ouzonalima Gil) oAbestecimier ( ocrrconfecciartextl (Bl o.creMecaniceAstomatriz oCizoral ‘o.DireccionZonal [l cuetaturatecnice (By oPNtZona Gl oxen GB ouzZonsiMoquegueTacne suZonalPescodnin ouzonapura Propiedades de las unidades organizativas Como todo objeto, las unidades organizativas tienen propiedades particulares, y se pueden visualizar de forma basica y avanzada. Observemos la diferencia Forma Bisica. 1. Clic derecho en la unidad organizativa y haga clic en Propiedades. 2. Observaré las siguientes fichas General, Administrador por y COM+. zi Gra Asrradopsr| Coe Bl tee 987 Programa Nacional de Informeéticaow SENATI & Capitulo Vi Gestién de unidades organizativas y usuarios Forma avanzada 4. Meni Ver, opcién Caracteri Cs pos de Active Di archiva accion | yer ayuda Agregar o avitar clumres... cores grances Tcorospeqefios use 9 dete LUsuariag, contsctos, grupes y ecuipes come contenedoras ct Opcones de Fito, Personalize. 2. Clic derecho en la unidad organizativa y haga clic en Propiedades. 3. Observara las siguientes fichas: General, Administrador por, Objeto, Seguridad, COM+ y Editor de atributos. Gaver | Acrinsrado por] Objato | Segutdd | COM=| Edtorde sts | BZ] see Traslado de unidades organizativas Para trasladar (mover) una unidad orga Proteger contenedor contra eliminacién accidental. 1. Asegurese de que el modo de Caracteristicas avanzadas, esté activo. 2. Clic derecho en la unidad organizativa, y seleccione propiedades. 3. Haga dic en la ficha Objeto y desactive la propiedad Proteger contenedor contra eliminacién accidental. Clic en Aceptar Lx! Ganesl| ddiinavadeper Olito | sep.reed | COM:| Edterae ateues | Nonibe sanénice del abet: Seay Clase deobieto: Unidad ogerzetva Credo 20/07/2008 18.0857 Mociicado: 28/07/2008 18:09:15 Nimetee de eacuanose actsalesdat (USN: etal 26s Snore 2465 I Pte cio con beni adel Programa Nacional de Informética 99& Administracién y Mantenimiento de Windows Server 2008 SENATI 4. Haga clic derecho sobre la unidad organizativa. 5. Haga clic en Mover. Bl cutmpress: 1B cuabostecrnents 1B) cucentsbildal Detever control. Bourn Buscar. Bl Sistemas ime a @ Bl ussuTt tO 6. Seleccione la ubicacién destino y haga clic en aceptar. Maver objeto dente del conleneder @ bith Dorain Contalos ForeignSecuiyPinsipas Eliminacion de Unidades organizativas 1. Asegirese de tener desactivada la opcién Proteger contenedor contra eliminacién accidental. 2. Luego haga clic derecho sobre la unidad organizativa y haga clic en Si a 22st seguro de que dese slininar Undad orgenizativa remore oufmaresa? Programa Nacional de Informeéticaow SENATI my Capitulo Vi Gestién de unidades organizativas y usuarios Elementos disponibles dentro de una OU 4. Equipo - Representa a las computadoras que se conectan al dominio. 2. Contacto... Es una cuenta de usuario, con una direccién de correo electrénico asociada de manera opcional, pero que no puede utiizarse para iniciar sesién en el dominio. 3. Grupo.- Son objetos mediante los cuales se definen las credenciales que se asignarén a las cuentas, autorizindoles 0 denegandoles el acceso a los recursos. 4. InetOrgPerson.- Es_una clase de objeto que facilita la transicién desde servicios de directorio ajenos a Microsoft, siempre que utilicen los protocolos LDAP 0 X.500 5. Alias de la cola de MSMQ- Representa un tipo de recurso que puede ser compartido entre las cuentas que forman parte de la Unidad Organizativa. 6. Impresora.- Facilita el proceso de compartir una impresora entre los usuarios que pertenezcan a la Unidad organizativa 0 dominio. 7. Usuario.- Cada cuenta se define como un hombre, el identificador de usuario y una contrasefia. 8. Carpeta compartida.- Carpeta en la que los usuarios pueden encontrar informacién 0 almacenarla, segiin las credenciales con que cuente. Creacién de cuentas de Usuario Las cuentas de usuario de Active Directory representan entidades fisicas, como personas. Las cuentas de usuario también se pueden usar como cuentas de servicio dedicadas para algunas aplicaciones. A veces, las cuentas de usuario también se denominan entidades de seguridad. Las entidades de seguridad son objetos de directorio a los que se asignan autométicamente identificadores de seguridad (SID), que se pueden usar para obtener acceso a recursos de! dominio. Principalmente, una cuenta de usuario: Autentica ta identidad de un usuario. Una cuenta de usuario permite que un usuario inicie sesién en equipos y dominios ‘con una identidad que el dominio pueda autenticar. Un usuario que inicia sesién en la red debe tener una cuenta de usuario y una contrasefia propias y unicas. Para maximizar la seguridad, evite que varios usuarios compartan una misma cuenta. Autoriza o deniega el acceso a los recursos de! dominio. Después de que un usuario se autentica, se le concede o se le deniega el acceso a los recursos del dominio en funcién de los permisos explictos que se le hayan asignado enel recurso. Denominacion de cuentas de usuario El contenedor de usuarios de Usuarios y equipos de Active Directory muestra tres cuentas de usuario integradas: Administrador, Invitado y Asistente de ayuda. Estas cuentas de usuario integradas se crean automaticamente al crear el dominio. Puede crear un nombre de usuario basado en clertas consideraciones: + El nombre de cuenta puede seguir un patron en comin: La primera letra del nombre seguido del apellido patemo, y si hay duplicacién puede agregarse una letra de! segundo apeliide 0 quizé el segundo nombre, 0 en todo caso el atio de nacimiento expresado en 2 digitos. Programa Nacional de Informiitica 101am my Administracién y Mantenimiento de Windows Server 2008 SENATI + Las contrasefias deben ser expresiones que incuyan mayusculas _y mindsculas, nimeros, espacios en blanco y algin carécter especial. Se recomienda que sea de una longitud de més de 12 caracteres. Tipos de cuentas Cada cuenta integrada tiene una combinacién diferente de derechos y permisos. La cuenta Administrador es la que tiene mas derechos y permisos en el dominio, mientras que la cuenta Invitado tiene derechos y permisos limitados. En la tabla siguiente se describen las cuentas de usuario predeterminadas de los controladores de dominio en los que se ejecuta el sistema operative Windows Server® 2008. Administrador Dc) La cuenta Administrador tene control total del dominio. Puede ignar derechos de usuario y permisos de control de acceso a los usuarios del dominio sein sea necesario. Esta cuenta sdlo se debe usar para las tareas que requieran credenciales administrativas. Es recomendable que configure esta cuenta con una contrasefia segura Le cuenta Administrador es un miembro predeterminado de los siguientes grupos de Active Directory: Administradores, ‘Administradores del dominio, Administradores de organizacién, Propietarios del creador de directivas de grupo y ‘Administradores de esquema. La cuenta Administrador nunca se puede eliminar ni quitar del grupo Administradores, pero es posible cambiarle el nombre o deshabilitarla. Como es sabido que la cuenta Administrador existe en muchas versiones de Windows, si le cambia el nombre o la deshabilita dificultaré el ‘acceso a ella a usuarios malintencionados. La cuenta Administrador es la primera cuenta que se crea ‘cuando se configura un nuevo dominio con el Asistente para la instalacién de los Servicios de dominio de Active Directory. ‘Pimportante Aunque la cuenta Administrador esté deshabilitada, puede ‘seguir uséndose para obtener acceso a un controlador de dominio con el modo seguro. Invitado Los usuarios que no tienen una cuenta en el dominio pueden usar la cuenta Invitado. Un usuario cuya cuenta se haya deshabilitado (pero no eliminado) también puede usar la cuenta Invitado. La cuenta Invitado no requiere ninguna contrasefia. Puede asignar derechos y permisos para la cuenta Invitado de la misma forma que para cualquier cuenta de usuario. De manera predeterminada, la cuenta Invitado es miembro del grupo integrado Invitados y del grupo global Invitados de dominio, lo que permite al usuario iniciar sesién en un dominio. La cuenta Invitado esta deshabiltada de forma predeterminada y recomendamos que permanezca asi 102 Programa Nacional de Informeéticaow SeENATI my Capitulo Vi Gestién de unidades organizativas y usuarios Asistente de Es la cuenta principal para establecer una sesin de Asistencia ayuda (seinstala remota. Esta cuenta se crea automaticamente al solicitar una conuna sesion _sesién de Asistencia remota. Tiene acceso limitado al equipo. La de Asistencia remota) cuenta Asistente de ayuda se administra mediante el servicio Administrador de sesién de Ayuda de escritorio remoto. La cuenta se elimina autométicamente si no hay solicitudes de Asistencia remota pendientes. Consideraciones sobre las cuentas de usuario y de sistema: Actividad 3 1. Cuentas creadas por el usuario. b. c 4. Permite a los usuarios registrarse en la Red Permite acceder a los recursos y realizar determinadas tareas si se tienen los permisos y derechos apropiados Contienen nombre de usuario, contrasefia y una descripcion Se clasifican en dos: i Cuentas de usuario del dominio: Permite registrarse en un dominio y obtener acceso a los recursos de la red. Deben ser ‘creadas en Unidades Organizativas. i. Cuentas de usuario Locales: Permite a los usuarios registrarse y obtener acceso a los recursos sdlo en la ‘computadora donde se creé la cuenta de usuario local Cuentas del sistema. b. Invitado i Usada para usuarios ocasionales Permite acceder a los recursos de la computadora local ji, Esté deshabilitada por defecto iv. Se recomienda cambiarle el nombre y descripcién Administrador i Usada para administrar el dominio i. Permite el mantenimiento de usuarios, grupos y cuentas; la administracién de politicas de seguridad y de los recursos de la red . Asignar derechos y permisos a las cuentas de usuario . La persona encargada de instalar el Direciorio Activo en el ‘equipo crea la contrasefia de esta cuenta durante la instalacion. v. Se recomienda cambiarle el nombre y descripcién vi. Crea otra cuenta llamada Administrador con privilegios minimos que sirva de sefiuelo a ottos atacantes. Asigna una contrasefia larga y compleja . Cambia la contrasefa periédicamente Cambia el nombre de usuario y descripcién del usuario Invitado y Administrador. Crea una cuenta denominada administrador y asignale privlegios limitados. Deshabilite la cuenta del administrador e inicie sesién en modo seguro. Sera posible? Cree una cuenta de usuario de dominio denominada prueba, deshabiltela y trate de iniciar sesién. ¢Serd posible? S Programa Nacional de Informiitica “103,JES) crrritracion y Mantonirtento de Windows Server 2008 SENATI Opciones de las cuentas de usuario Las cuentas de usuar tienen diversas propiedades, entre ellas: Nombre la persona que usar la cuenta, asi como su apellido. Nombre para mostrar Descripcién Oficina Namero de teléfono Nombre de inicio de sesién de usuario Horas de inicio de sesion Inicio de sesién en. eNO RPENS Creacion de cuentas de usuario de dominio Las cuentas de usuario de dominio se crean en el Active Directory y se pueden utilizar para iniciar sesién en cualquier equipo que esté unido al dominio. Sin embargo, en caso se encuentre en un dominio diferente o en un Grupo de trabajo, y desee conectarse a un recurso compartido en un dominio diferente se le solicitara que ingrese las credenciales de un usuario existente en el dominio. Para crear una cuenta siga los siguientes pasos: 1. Haga clic derecho en la Unidad organizativa donde la creard, seleccione Nuevo y haga clic en Usuario. Gh GBS senan.edipe: ISB cusdhinatrn Lid 2 air IS oconcaniced unis, (Computers nid IIB) Domain Contelers ina a iSea.ityPrincivals [Bi o.sicuenss brie agi 2 Be] Laney Deepa contol aD} users | Mover Eqipo ] Toss iastess P) Contacto ve se netOrcerson conte Aas de col de HSI, ‘irinar ridad organzave Cemibor nombre | reresors | Actuslar Us Preorts lets. Cpels compar ids Propedadee 2. Aparecera el siguiente cuadro de dialogo. Llene los datos de! usuario. 104 Programa Nacional de InformeéticaSENATI FEF com tuto Vi Gestién de unidades organtzetivasy usuarios al Bere eric nto Nombre: ero prtaee Ponce: Nonibe soneiete: [Resco Fertsivan Nombre do rice de eseén de usu Fiontavan [esensiedu.pe = None denice de easén de usuana janiror a Wredowe 2000) fsenarh Fue eats Ee 3. Escriba la contrasefia dos veces y configure algunas opciones. Haga clic en siguiente. CT a = B, cesren senaned: e/outnees/sukdnniecen Conireac%e: Confimer contre free 7 Elususro cebe combiarle contatefia al riciaruna sesiin de nuevo [ Buguaore puste cambiar le contesetie | ailaa| a “administrador del servicor (¥ up if] Caracteristicas: sombre Nombre completa, (# Disgnaseco P acnnisvace il onfouracon Biriteco TE (D) Fregranader de trese fe BP Frenal ce irdons con segundac Eh contra wn 15 i Usuaras y srupcs locales 5 Usirin Grupos 19 Bg Ainacenanente a a Programa Nacional de Informéticaow SeENATI & Capitulo Vi Gestién de unidades organizativas y usuarios 2. Haga clic derecho sobre la seccién Usuarios 0 en el Panel derecho. Haga dlic en Usuario nuevo. iH] gD Funsones © gil Corecteristices i ful Dagrisico 15 if cortgurecdn i () Frog-omador ce trens BP Freval de Wndowsconcequridet 2 © Senicise 1B} Conta Wet 5 i unvanie ygrusce sae 5 Ussanes 1 cupos 8 BY Alnacenanento 3. Observaré el siguiente cuadro de “Acinnistador del server (W/SERVER2005) None [nonsreconpets ‘BE scmnitracor Binosco = Acualzar Exports liste. ver onganizar eenae Alnear icons Ayuda logo. Ingrese la informacién del usuario. Y haga clic en Crear. Cu Nombedounsno [rts oo ot aoe ee 7 Etueusro cone cambiar a cnvasena on el aque iio de sean FF Blusugro re pusde cambior le contrescfio i Geasitinnd aia Cuenta deshabiitoda: Programa Nacional de InforméticaEY reirinistracton y Manteniionto de Windows Server 2008 oe Administracion de cuentas de usuario Busqueda de cuentas de usuario 1. Si desea, puede seleccionar una unidad organizativa para empezar la bUsqueda desde dicha unidad. 2. Haga clic en el ment Accién y luego en Buscar. “sisi Seer eae Buscar | Usuarios, contactos y guoos | Se: Sl outnoresa 7 ‘Exeminar. ES | ws ~_,, Buscar aber =e Deere Borertodo F 3. Escriba alguna palabra que asocie al objeto buscado. Por ejemplo escriba, Montalvan. ¥ luego haga cic en Buscar. Se Regultado de a boequede: Desaripcan [Telemantos encortedoe a 4. Observaré el resultado en la parte inferior Deshabiltacion de cuentas de usuario En ocasiones ser necesario conservar una cuenta para un uso posterior, pero se requerira que no esté disponible para uso por ninguna persona. En tal caso puede optar por deshabilitar la cuenta 1. Haga clic derecho sobre la cuenta de usuario 2. Luego, haga clic en Deshabilitar cuenta. 108 Programa Nacional de informéticaow SENATI IF coset v1 eatin da unis cepertctives y sworn Eliminacion de cuentas de usuario 4. Seleccione la cuenta 2. Haga clic derecho sobre ella, y luego haga clic en Eliminar. Traslado de cuentas de usuario El proceso es idéntico a trasladar unidades organizativas 1. Seleccione la cuenta 2. Haga clic derecho sobre ella y luego haga clic en Mover 3. Seleccione el destino y haga clic en Aceptar. Desbloqueo de cuentas de usuario No debe confundirse la opcién deshabiltar con desbloqueo, esta ultima ocurre luego de un numero significative de errores al momento de iniciar sesién. 4. Clic derecho sobre una cuenta de usuario y luego clic en Propiedades. 2. Ficha Cuenta, clic en Desbloquear cuenta. Propiedades de la cuenta de usuario En la siguiente tabla se muestran las principales propiedades oir Perey Nombre de inicio | En el cuadro de texto de la izquierda dispone de espacio para escribir de sesién do al nombre de cuenta de este usuario. Es el nombre con el que el usuario usuario iniciaré sesién en un dominio de Active Directory. La sta desplegable de la derecha muestra los sufjas de nombre principal de usuario (UPN) que se pueden usar para crear el nombre de inicio de sesién del usuario. La lista contione el nombre completo del Sistema de nombres de dominio (ONS) del dominio actual, e! nombre DNS completo del dominio raiz del bosque actual y los sufios UPN altemativos creados con Dominios y confianzas de Actve Directory. Nombre de inicio | El cuadro de texto de sélo lectura que esté a la izquierda muestra el de sesién de nombre de dominio que usan los equipos en los que se ejecutan usuario (anterior | Sistemas operatvos anteriores a Windows 2000. Este nombre se indows usaré también en la sintexis anterior a Windows 2000 para el inicio de am 2000) | ‘esién de usuario, nombreDeDominislnombreDeUsuario. En el cuadro de texto de la derecha dispone de espacio para escribir el nombre de inicio de sesién de usuario anterior a Windows 2000. Este nombre de usuario esté en el formato anterior a Windows 2000, que es nombreDeDominio\nombreDeUsuatio. Horas de inicio de | Haga clic en este botén para cambiar las hores durante las que el sesion objeto seleccionado puede iniciar sesion en el dominio. De manera predeterminada, el inicio de sesién en ol dominio se permite las 24 horas del dia durante los 7 dias a la semana. Tenga presente que este control no afecta a la posiblidad de que el usuario inicie sesiin locaimente en un equipo con una cuenta de equipo local en lugar de ‘con una cuenta de dominio Programa Nacional de Informiitica 109a. JES) crrritracion y Mantonirtento de Windows Server 2008 SENATI Iniciar sesion en Haga clic en este botén para especificar las resiricciones de inicio de sesion en estaciones de trabajo que permitiran a este usuario iniciar ssesin sélo en los equipos del dominio que se hayan especificado. De manera predeterminada, un usuario puede iniclar sesion en cuakquler ‘estacién de trabajo unide al dominio. Tenga presente que este contro! no afecta a la posibildad de que el usuario inicie sesion locaimente on Un equipo con una cuenta de equipo local en lugar de con una cuenta de dominio Desbloquear cuenta Permite desbloquear cuentas de usuario bloqueadas porque se produjeron demasiados errores al intentar iniciar sesién. Notas Cuando el controlador de dominio actual indica que la cuenta de usuario seleccionada esta "no bloqueada’, este control sdlo esté habiltado si el nivel funcional del dominio esté establecido en Windows Server 2008. En otras palabras, solo los controladores de dominio de Windows Server 2008 permiten *desbloquear” cuentas de usuario. Esta caracteristica es especialmente itil cuando las cuentas de usuario se bloquean en controladores de dominio de sélo lectura (RODC) y la informacion de bloqueo no se replica en los demas controladores de dominio. No obstante, tenga en cuenta que la ‘operacién de desbloqueo s6lo se puede realizar en un controlador de dominio de escritura. ‘Cuando el controlador de dominio actual indica que la cuenta de usuario seleccionada esi “bloqueada’, el texto de la casilia es Desbloquear cuenta. La cuenta esti actualmente bloqueada en este ‘controlador de dominio de Active Directory. Opciones de cuenta Estas son las opciones de cuenta de usuario de Active Directory: + Elusvato debe combi la coniesars en él elguania ini de sesion * Elusuario no puede cambiar le contrasefia + Lacontraseria nunca expira Almacenar contrasefia utlizando ctrado reversible * Cuenta deshabiliada La tarjeta inteligente es necesaria para un inicio de sesiin interactivo + La cuenta es importante y no se puede delegar © Usar tipos de cifrado DES para esta cuenta + Esta cuenta admite cifrado AES de Kerberos de 128 bits * Esta cuenta admite cifrado AES de Kerberos de 256 bits, * No pedir la autenticaciin Kerberos previa Nota Las opciones de cifrado AES de Kerberos (tanto la de 128 bits como la de 256 bits) sélo estén disponibles cuando el nivel funcional del dominio se establece en Windows Server 2008 o Windows Server 2003. El Esténdar de cifrado avanzado (AES) es un nuevo algoritmo de cifrado que ha normalizado el National Institute of ‘Standards and Technology (NIST). Se espera que su uso se extienda fen bos proximos afios. 10 Programa Nacional de Informeéticaow SENATI IF coset v1 eatin da unis cepertctives y sworn La cuenta expira | Establoce la directiva de expiracién de cuenta de este usuario. Tione las opciones siguientes: Use Nunca para indicar que la cuenta seleccionada nunca expiraré. Esta opcién es la predeterminada para los usuarios nuevos. Seleccione Fin de y, a continuacién, seleccione una fecha si desea que la cusnta del usuario expire en una fecha determinada. Opciones de cuenta Cada cuenta de usuario de Active Directory tiene varies opciones que determinan como se autentica en la red alguien que inicie sesién con esa cuenta de usuario concreta. Con las opciones de la tabla siguiente se puede establecer la configuracién de las contrasefias y la informacién especifica de la seguridad de las cuentas de usuario. au Ra) pe Ly El usuario debe Obliga al usuario a cambiar su contrasefia la proxima vez cambiar la contrasefia | que inicie sesién en la red. Habilite esta opcién cuando enel siguiente inicio | desee estar seguro de que el usuario es la unica persona de sesién que conoce la contrasefia. El usuario no puede Impide que un usuario cambie su contrasefia. Habilite esta cambiar la contrasefia | opcidn si desea mantener el control de una cuenta de usuario, tal como una cuenta Invitado o una cuenta temporal. Lacontraseiia nunca | impide que una contrasefia de usuario expire. expira Recomendamos que las cuentas de servicio tengan esta opcién habilitada y usen contrasefias seguras. Almacenar Permite al usuario iniciar sesi6n en una red de Windows: contrasefias. usando | desde un equipo Apple. Si el usuario no inicia sesién cifrado reversible desde un equipo Apple, no habliite esta opcién. Cuenta deshabilitada | impide al usuario iniciar sesién con la cuenta seleccionada. Muchos administradores usan cuentas deshabilitadas como plantillas para las cuentas de usuario normales. Latarjeta inteligente | Requiere que el usuario posea una tarjeta inteligente para es necesaria para un | iniciar sesién en la red de forma interactiva. EI usuario inicio de sesion debe tener también un lector de tarjetas inteligentes conectado al equipo y un nimero de identificacién personal (NIP) para la tarjeta inteligente. Cuando se habilita esta opcién, la contrasefa de la cuenta de usuario se establece automdticamente en un valor aleatorio y complejo, y se habilita la opcién de cuenta La contrasena nunca expira. Programa Nacional de Informiiticaa. JES) crrritracion y Mantonirtento de Windows Server 2008 SENATI Se confia en la cuenta para su delegacion Permite que un servicio que se ejecute con esta cuenta realice operaciones en nombre de otras cuentas de usuario en la red. Un servicio que se ejecuta con una ‘cuenta de usuario (también conocida como cuenta de servicio) en la que se confia para la delegacién, puede suplantar a un dliente para obtener acceso a los recursos del equipo donde se ejecuta el servicio o a los recursos de otros equipos. En un bosque que se encuentre establecido en el nivel funcional de Windows Server 2008, esta opcién esta en la ficha Delegacion. Esté disponible s6lo para las cuentas a las que se han asignado nombres principales de servicio (SPN), lo que se consigue a través del comando setspn de Windows Server 2008 (abra una ventana del simbolo del sistema y escriba setspn). Se trata de una caracteristica critica para la seguridad, por lo que se debe usar con precaucién. Esta opcién sélo esta disponible en los controladores de dominio con Windows Server 2008 y que tengan funcionalidad de dominio Windows 2000 mixta o Windows 2000 nativa. en los controladores de dominio se ejecuta Windows Server 2008 y el nivel funcional del dominio se encuentra establecido en el nivel funcional de bosque de Windows Server 2008, use la ficha Delegacién del cuadro de didlogo de propiedades del usuario para configurar las opciones de delegaci6n. La ficha Delegacién ‘solo aparece para las cuentas que tengan asignados SPN. DES para esta cuenta La cuenta es Puede usar esta opcién si otra cuenta no puede asignar importante y nose esta cuenta para su delegacién (por ejemplo, una cuenta puede delegar Invitado o temporal). Usar tipos de cifrado | Ofrece compatibilidad con el Estandar de cifrado de datos (DES). DES ac varios niveles de cifrado, como el estandar MPPE (Cifrado punto a punto de Microsoft) de 40 bits, el estandar MPPE de 56 bits, el estandar MPPE Strong de 128 bits, DES IPsec (Protocolo de seguridad de Intemet) de 40 bits, DES IPsec de 56 bits y Triple DES (DES) IPsec. No pedir ta autenticacion Kerberos previa Ofrece compatibilidad con implementaciones altemativas del protocolo Kerberos. Tenga cuidado cuando habilite esta opcion, porque la autenticacion Kerberos previa proporciona’ una mayor seguridad y requiere la sincronizacion de hora enttre el cliente y el servidor. 112, Programa Nacional de informéticaow SENATI fy Capitulo Vi: Gestién de unidades organizativas y usuarios Perfiles de usuario Los perfiles de usuario son el conjunto de caracteristicas que incluyen, el escritorio, carpeta mis documentos, favoritos, y toda la informacion que le permite iniciar sesion en un equipo. Pueden ser de tres tipos: Locales, Méviles y Obligatorios. Los periiles Locales son los mas usados, ya que, tanto mévies como obligatorios requieren copiar archivos del perfil desde un recurso compartido hasta el equipo donde se est iniciando sesién. Todos los perfiles se guardan en la carpeta C:\Usuarios y son inicialmente una copia de la carpeta Default. Si el usuario nunca ha iniciado sesion en un determinado equipo, cuando lo haga, se creard una carpeta de perfil en ese equipo, ha esto se le denomina Perfil Local. Puede configurar una carpeta compartida, con los permisos adecuados y luego direccionar la carpeta de perfil a dicha carpeta. Utilce la ficha Perfil y escriba una ruta ‘como la siguiente: \\wserver2008\Perfiles\%username%, ha esto se le denomina Perfil Movil ‘ousername% es una variable del sistema que representa el nombre de la cuenta de usuario que esté modificando Dentro de la carpeta del perfil se crea un archivo NTUSER.DAT, puede cambiar el nombre a NTUSER.MAN, lo que provocara que el perfil no guarde los cambios realizados en el mismo, de tal manera que se pierdan todas las modificaciones que se hayan hecho al perfil. Recuerde que el uso de pertiles méviles y obligatorios en ambientes corporativos se evita por su alto consumo de ancho de banda al momento de copiar los archivos al equipo y su actualizacién cuando el usuario cierra sesién. Directorio Particular El directorio particular es una carpeta utilizada y accesible énicamente por el usuario, ademas se puede asignar una unidad de red a dicha carpeta. Se debe crear una carpeta compartida para almacenar las carpetas de directorio particular. Luego puede usar una ruta como; \\wserver2008\DirPersonal\‘%username% Y asignarle una letra de unidad, que sera accesible cada vez que el usuario inicie sesiOn, a través de Mi PC. 4. Investigacié a. Cudles la longitud maxima para un nombre de usuario b. Cuales la longitud minima de una contrasefia c. Cuantas contrasefias son recordadas por defecto como histérico d. Cuantas veces puedo equivocarme en la contrasefia antes de que la cuenta se bloquee. e. Porqué crear una cuenta de equipo antes de unir el equipo fisico al domi 2. Realice las siguientes actividades: Programa Nacional de Informética 13,a. JES) crrritracion y Mantonirtento de Windows Server 2008 SENATI @ Configure un usuario para que acceda a los recursos de! dominio, utiizando tres equipos distintos y Gnicamente de Lunes a Viemes, de 13:00 a 21:00 b. Cree 2 usuarios, inicie sesion oon ambos desde un cliente Windows XP que esté conectado al dominio, tealice cambios en su entorno de trabajo, cierre sesién y explore sus carpetas de perfil con la cuenta administrador local de! Cliente Windows XP. También revise la carpeta Usuarios de! Controlador de Dominio y note si se crearon también perfiles de usuario alli. . Intente iniciar sesién el servidor usando una de las cuentas creadas anteriormente. {Qué mensaje recibo? Investigue qué hacer para que una cuenta estandar pueda iniciar sesién en el controlador de dominio. Ejorcicio Préctico Considere las siguientes situaciones y datos para Disefiar un sistema de Red capaz de dar el soporte necesario a la misma. La Empresa Montero S.A. contrata sus servicios como Administrador de Redes y proporciona los siguientes datos: 1 jientes personas haran uso de la red. Jorge Tafur (Gerente General) Miguel Millano(Sub Gerente) Miguel Quispe (Gerente Técnico) Margot Donaire (Asistente Administrative de la Gerencia técnica) Frank Molina (Supervisor Area 1 Turno mafiana) Jorge Mufioz (Supervisor Area 2 Turno mafiana) Victor Mimbela (Supervisor Area 3 Turno mafiana) Marcos Torres (Supervisor Area 1 Tumo noche) Francisco Dominguez (Supervisor Area 2 Tumo noche) Richard Morris (Supervisor Area 3 Tumo noche) Manuel Pacora (Contador) Susana Frey (Asistente administrativo de Contabilidad) . Jared Yafac (Gerente de RRHH) Viviana Martinoti (Asistente administrativo de RRHH) Lizeth Coronado (Gerente de Finanzas) Mark Romero (Asistente administrativo de Finanzas) Desire More (Gerente de Marketing) Raal Thomas (Asistente administrative de Marketing) Monica Suarez(Promotora de Ventas) Vanesa Farfan (Promotora de Ventas) Ivan Farias (Promotor de Ventas) Martha Molina (Promotor de Ventas) 2. Existen 600 trabajadores més que necesitan acceder en forma esporddica a la red de la empresa por lo que se necesita una cuenta especial para todos ellos 3. Todos los Gerentes trabajan de Lunes a Viemes de 9:00am a 5:00pm. 4. Los Supervisores trabajan de Lunes a Sabado de 7:45 am a 4:00 pm (Turno mafiana) y de 4:00pm a 12am (Turno noche) 5. Los promotores de venta trabajan de 8:00 a 18:00 de Lunes a Sabado a Iss re repoagr aT sa seae se 1a Programa Nacional de InformeéticaCapitulo £2 Estrategias de Seguridad a través de Grupos En este capitulo trataremos: ' Planificara una estrategia de grupos '@ Entendera la importancia de una estrategia de grupos '@ Aprendera a crear grupos de usuarios '@ Identificara los grupos predefinidos ' Aprenderd a establecer derechos de usuario Introduccién: Controlar el acceso a los recursos es una de las tareas més ‘significativas de la administracién de la red. Por lo que debera entender qué técnicas son empleadas para simplificar la concesién de permisos. Programa Nacional de Informéiticaa. JES) crrritracion y Mantonirtento de Windows Server 2008 SENATI Introduccion a Grupos Un grupo es un conjunto de cuentas de usuario y de equipo, contactos y otros grupos que se pueden administrar como una sola unidad. Los usuarios y los equipos que pertenecen a un grupo determinado se denominan miembros del grupo. Los grupos de los Servicios de dominio de Active Directory (AD DS) son objetos de directorio que residen en un dominio y en objetos contenedores Unidad organizativa (QU). AD DS proporeiona un conjunto de grupos predeterminados cuando se instala y también incluye una opcién para crearlos. Los grupos de AD DS se pueden usar para: Simplificar la administracién al asignar los permisos para un recurso compartido a un grupo en lugar de a usuarios individuales. Cuando se asignan Permisos a un grupo, se concede el mismo acceso al recurso a todos los miembros de dicho grupo. 4 Delegar la administracion al asignar derechos de usuario a un grupo una sola vez mediante la directiva de grupo. Después, a ese grupo le puede agregar miembros que desee que tengan los mismos derechos que el grupo. Crear listas de distribucion de correo electronico. Los grupos se caracterizan por su Ambito y su tipo. El Ambito de un grupo determina el alcance del grupo dentro de un dominio 0 bosque. El tipo de grupo determina si se puede usar un grupo para asignar permisos desde un recurso compartido (para grupos de seguridad) 0 si se puede usar un grupo sélo para las listas de distribucion de correo electronico (para grupos de distribucién) También existen grupos cuyas pertenencias a grupos no se pueden ver ni modificar. Estos grupos se conocen con el nombre de identidades especiales. Representan a distintos usuarios en distintas ocasiones, en funcién de las circunstancias. Por ejemplo, el grupo Todos es una identidad especial que representa a todos los usuarios actuales de la red, incluidos invitados y usuarios de otros dominios. Grupos predeterminados Los grupos predeterminados, como es el caso de! grupo Administradores del domi son grupos de seguridad que se crean autométicamente cuando se crea un dominio de Active Directory. Estos grupos predefinidos pueden usarse para ayudar a controlar el acceso a los recursos compartidos y para delegar funciones administrativas especificas en todo el dominio. A muchos grupos predeterminados se les asigna automaticamente un conjunto de derechos de usuario que autorizan a los miembros del grupo a realizar acciones especificas en un dominio, como iniciar sesién en un sistema local o realizar copias de seguridad de archivos y carpetas. Por ejemplo, un miembro del grupo Operadores de copia de seguridad puede realizar operaciones de copia de seguridad para todos los controladores de dominio del dominio. Cuando se agrega un usuario a un grupo, 4 Todos los derechos de usuario 4 Todos los permisos asignados al grupo para los recursos compartidos Los grupos predeterminades se encuentran en el contenedor Builtin y en el contenedor Users. Los grupos predeterminados del contenedor Builtin tienen el Ambito de grupo Integrado local. Su Ambito de grupo y tipo de grupo no se pueden cambiar. El contenedor Users incluye grupos definidos con ambito Global y grupos 116) Programa Nacional de Informeéticaow SENATI FEF optic vit Estratogas dl seguridad «través de grupos definidos con ambito Local de dominio. Los grupos ubicados en estos contenedores se pueden mover a otros grupos o unidades organizativas de! dominio, pero no se pueden mover a otros dominios. Ambito de grupo Los grupos se caracterizan por un émbito que identifica su alcance en el bosque 0 4rbol de dominios. Existen tres Ambitos de grupo: local de dominio, global y universal. Grupos focales de dominio Los miembros de los grupos locales de dominio pueden incluir otros grupos y cuentas de dominios de Windows Server 2003, Windows 2000, Windows NT y Windows Server 2008. A los miembros de estos grupos sélo se les pueden asignar permisos dentro de un dominio. Los grupos con émbito Local de dominio ayudan a definir y administrar el acceso a los recursos dentro de un dominio nico. Estos grupos pueden tener los siguientes miembros: 4 Grupos con dmbito Global 4 Grupos con émbito Universal > Cuentas 4 Otros grupos con ambito Local de dominio % Una combinacién de los anteriores Por ejemplo, para conceder acceso a una impresora determinada a cinco usuarios, puede agregar las cinco cuentas de usuatio a la lista de permisos de la impresora. Sin embargo, si posteriormente desea que esos cinco usuarios tengan acceso a otra impresora, debera volver a especificar las cinco cuentas en la lista de permisos para la nueva impresora. Con un poco de previsién, puede simplificar esta tarea administratva rutinaria al crear tun grupo con émbito Local de dominio y asignarle permisos de acceso a la impresora. Coloque las cinco cuentas de usuario en un grupo con ambito Global y agregue este grupo al grupo que tiene émbito Local de dominio. Cuando desee que los cinco usuarios tengan acceso a una nueva impresora, asigne permisos de acceso a la nueva impresora al grupo con émbito Local de dominio. Todos los miembros del grupo con émbito Global recibiran autométicamentte el acceso ala nueva impresora. Grupos globales Los miembros de los grupos globales pueden incluir sélo otros grupos y cuentas del dominio en el que se encuentra definido el grupo. A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio de! bosque. Use los grupos con Ambito Global para administrar objetos de directorio que requieran un mantenimiento diario, como las cuentas de usuario y de equipo. Dado que los grupos con Ambito Global no se replican fuera de su propio dominio, las cuentas de Un grupo con émbito Global se pueden cambiar frecuentemente sin generar trafico de replicacién en el catdlogo global. ‘Aunque las asignaciones de derechos y permisos s6lo son validas en el dominio en el que se asignan, al aplicar grupos con ambito Global de manera uniforme entre los dominios apropiados, es posible consolidar las referencias a cuentas con fines similares. De esia manera se simplifica y se racionaliza la administracién de grupos entre dominios. Por ejemplo, en una red que tenga dos dominios, Europe y UnitedStates, si hay un grupo con dmbito Global denominado GLAccounting en el Programa Nacional de Informiiticaa. JES) crrritracion y Mantonirtento de Windows Server 2008 SENATI dominio UnitedStates, deberia haber también un grupo denominado GLAccounting en el dominio Europe (a menos que esa funcién de contabilidad (Accounting) no exista enel dominio Europe). Importante Recomendamos encarecidamente que use grupos globales o universales en lugar de grupos locales de dominio cuando especifique permisos para objetos de directorio de dominio que se repliquen en of catélogo global. Grupos universales Los miembros de los grupos universales pueden incluir otros grupos y cuentas de cualquier dominio de! bosque o del arbol de dominios. A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio de! bosque o del arbol de dominios. Use los grupos con émbito Universal para consolidar los grupos que abarquen varios dominios. Para ello, agregue las cuentas alos grupos con émbito Global y anide estos grupos dentro de Ios grupos que tienen ambito Universal. Si usa esta estrategia, los cambios de pertenencias en los grupos que tienen dmbito Global no afectan a los grupos con ambito Universal. Por ejemplo, si una red tiene dos dominios, Europe y UnitedStates, y hay un grupo con Ambito Global denominado GLAccounting en cada dominio, cree un grupo con mbito Universal denominado UAccounting que tenga como miembros los dos grupos GLAccounting, UnitedStates\GLAccounting y Europe\GL Accounting. Después, podra usar el grupo’ UAccounting en cualquier lugar de la organizacién. Los cambios de pertenencia de los grupos GLAccounting individuales no producird la replicacién del grupo UAccounting. No cambie la pertenencia de un grupo con ambito Universal frecuentemente. Los cambios de pertenencia de este tipo de grupo hacen que se replique toda la pertenencia del grupo en cada catalogo global del bosque. Tipos de grupo Hay dos tipos de grupos en AD DS: + Grupos de distribucion y 4 Grupos de seguridad. Los grupos de distribucién se usan para crear listas de distribucién de correo electrénico y los grupos de seguridad se usan para asignar permisos para los recursos compartidos Los grupos de distribucién sdlo se pueden usar con aplicaciones de correo electrénico (Como Microsoft Exchange Server 2007) pam enviar mensajes a conjuntos de usuarios. Los grupos de distribucién no tienen seguridad habilitada, lo que significa que no pueden aparecer en las listas de control de acceso discrecional (DACL). Si necesita un grupo para controlar el acceso a los recursos compartidos, cree un grupo de seguridad Si se usan con cuidado, los grupos de seguridad son eficaces para conceder acceso alos recursos de la red. Con los grupos de seguridad se puede: * Asignar derechos de usuario a los grupos de seguridad de AD DS Programa Nacional de Informeéticaow SENATI & Capftulo Vik Estrategias de seguridad a través de grupos Se asignan derechos de usuario a un grupo de seguridad para determinar lo que pueden hacer los miembros de ese grupo en el Ambito de un dominio (o bosque). A algunos grupos de seguridad se les asignan derechos de usuario automaticamente cuando se instala AD DS para ayudar a los administradores a definir la funcién administrativa de una persona en e! dominio. Por ejemplo, si se agrega un usuario al grupo Operadores de copia de seguridad de Active Directory, éste puede realizar operaciones de copia de seguridad y restauracién de archivos y directorios en cada controlador de dominio del dominio. # Asignar permisos para recursos a los grupos de seguridad Los permisos y los derechos de usuario no son lo mismo. Los permisos determinan quién puede obtener acceso a un recurso compartido y el nivel de acceso, como Control total. Los grupos de seguridad se pueden usar para administrar el acceso y los permisos en un recurso compartido. Algunos permisos que se establecen en objetos de dominio se asignan automdticamente para proporcionar varios niveles de acceso a los grupos de seguridad predeterminados, como el grupo Operadores de cuentas 0 el grupo Administradores del dominio. Como sucede con los grupos de distribucién, los grupos de seguridad también se pueden usar como entidades de correo electrénico. Al enviar un mensaje de correo electrénico al grupo, se envia a todos sus miembros. Identidades especiales Ademas de los grupos de los contenedores Users y Builtin, los servidores en los que se ejecuta Windows Server 2008 0 Windows Server 2003 incluyen varias identidades especiales. Por comodidad se las suele llamar grupos. Estos grupos especiales no tienen pertenencias especificas que se puedan modificar. ‘Sin embargo, pueden representar a distintos usuarios en distintas ocasiones, en funcién de las circunstancias. Los grupos siguientes son identidades especiale: Peter a Este grupo representa a los usuarios y servicios que obtienen anénimo ‘acceso a un equipo y sus recursos a través de la red sin usar un nombre de cuenta, contrasefia 0 nombre de dominio. En fos equipos con Windows NT y versiones anteriores, el grupo Inicio de sesién anénimo es un miembro predeterminado del grupo Todos. En los equipos con Windows Server 2008 0 Windows Server 2003, el grupo Inicio de sesién andnimo no es miembro del grupo Todos de manera predeterminada. Todos Este grupo representa a todos los usuarios actuales de la red, incluidos invitados y usuarios de otros dominios. Cuando un usuario inicia sesién en la red, se agrega autométicamente al grupo Todos. Red Este grupo representa a los usuarios que obtienen acceso en ese momento a un recurso dado a través de Ia red, frente a los usuarios que obtienen acceso a un recurso mediante un inicio de sesién local en el equipo en el que reside el recurso. Programa Nacional de Informiitica 119,a. JES) crrritracion y Mantonirtento de Windows Server 2008 SENATI ‘Cuando un usuario obtiene acceso @ un recurso dado a través de la red, se agrega automaticamente al grupo Red. Interactive Este grupo representa a todos los usuarios que disponen de una sesién iniciada en un equipo determinado y que estén obteniendo acceso a un recurso ubicado en ese equipo, frente a los usuarios que obtienen acceso al recurso a través de la red. Cuando un usuario obtiene acceso a un recurso dado en el equipo en el que ha iniciado sesién, se agrega autométicamente al grupo Interactivo. Aunque a las identidades especiales se les puede conceder derechos y permisos para bos recursos, sus pertenencias no se pueden ver ni modificar. Las identidades especiales no tienen ambitos de grupo. Los usuarios son asignados automaticamente a ellas cuando inician sesién u obtienen acceso a un recurso concreto. Informacién sobre creacién de grupos En AD DS, los grupos se crean en los dominios. Para crear grupos se utiliza Usuarios y equipos de Active Directory. Con los permisos necesarios, se pueden crear grupos en el dominio raiz de! bosque, en cualquier otro dominio del bosque o en una unidad organizativa. ‘Ademés de por el dominio en el que se crea, un grupo también se caracteriza por su 4mbito. E1 ambito de un grupo determina lo siguient @ Eldominic desde el que se pueden agregar miembros 4 El dominio en el que son validos los derechos y permisos asignados al grupo Ela el dominio o la unidad organizativa donde va a crear un grupo en funcién de las tareas de administracién que requiera el grupo. Por ejemplo, si un directorio tiene varias unidades organizativas y cada una tiene un administrador diferente, puede crear grupos con mbito Global dentro de esas unidades organizativas para que los administradores administren la pertenencia a grupos de los usuarios de las unidades organizativas que les correspondan. Si se necesitan grupos para controlar el acceso fuera de la unidad organizativa, puede anidar los grupos de la unidad organizativa dentro de grupos con ambito Universal (u otros grupos con émbito Global) que puede utilizar en otros lugares del bosque Nota Es posible mover grupos dentro de un dominio, pero s6io los grupos con 4mbito Global se pueden mover entre dominios diferentes. Los derechos y permisos que se asignan a un grupo con ambito Universal se pierden cuando el grupo se mueve a otro dominio y deben realizarse nuevas asigna Niveles de Funcionamiento E! nivel funcional determina cémo se comportaran los grupos dentro de! bosque y a la vez determina qué clase de caracteristicas estaran disponibles, como por ejemplo la capacidad de unir bosques. Si el nivel funcional del dominio se encuentra definido como native de Windows 2000 © superior, el dominio contiene una jerarquia de unidades organizativas y la administracién se delega a los administradores de cada unidad organizativa, puede que sea més eficaz anidar los grupos con ambito Global. Por ejemplo, si OU1 120" Programa Nacional de Informeéticaow SENATI & Capitulo Vil: Estrategias de seguridad a través de grupos contiene a OU2 y OU3, un grupo con Ambito Global en OU1 puede tener como miembros a los grupos con ambito Global en OU2 y OU3. En OU1, el administrador puede agregar o quitar miembros de grupo de OU1 y los administradores de OU2 y OU3 pueden agregar o quitar miembros de grupo para las cuentas de sus propias OU sin tener derechos administratives para el grupo con ambito Global en OU1. Cambiar el nivel funcional del dominio En la herramienta Usuarios y equipos de Active Directory, haga clic derecho en el dominio, y seleccione Elevar el nivel funcional de! dominio. Censisr domine.. Cambiar el controlador de comin. ‘Maeva de operaciones Neve » Todas las tarea6 > ve » actuslzat Excortar iste, Praglededes Anda % Observaré el siguiente cuadro de dialogo, con el cual podra observar el nivel funcional actual, y ademds, cambiar a un nivel superior. Eames Nombre de demic: senatiedupe Nive! funcional del domino actua’ Windows 2000 natvo “Selessions Un hivelfuncons del gomnis dapenise Programa Nacional de Informética aa. JES) crrritracion y Mantonirtento de Windows Server 2008 SENATI Planificacion de estrategias de grupo En Active Directory, se crearan un gran niimero de grupos de distribucién y seguridad. Las siguientes convenciones de nomenclatura pueden ayudar a administrar estos grupos. Las organizaciones establecen sus propias convenciones de nomenclatura para los grupos de distribucion y de seguridad. Un nombre de grupo deberia identificar su ambito, tipo, la finalidad de su creacién y Jos permisos que puede tener. Determinacion de los nombres de grupo Grupos de Seguridad Tenga en cuenta los siguientes puntos al definir una convencién de nomenciatura para los grupos de seguridad: Ambito de los grupos de seguridad ‘Aunque el tipo y ambito de grupo se muestra como tipo de grupo en Usuarios y equipos de Active Directory, las organizaciones suelen incorporar el émbito en la convencién de nomenclatura de! nombre de grupo. Por ejemplo, para identificar el Ambito de los grupos de seguridad, Northwind Traders afiade una letra al principio del nombre de grupo: % GITAdmins G para grupos globales % UAIIIT Admins Upara grupos universales ¢ DL IT Admins Full Control DL para grupos locales de dominio Posesién del grupo de seguridad EI nombre de un grupo de seguridad de dominio, ya sea universal, dominio, debe identficar de forma clara al propietario del grupo e incluirel nombre del departamento o equipo al que pertenece. A continuacién, se muestra un ejemplo de convencién de nomencilatura que podria utilizar Northwind Traders para identificar al propietario del grupo: © G Marketing Managers 4 DLIT Admins Full Control Nombre de dominio El nombre de dominio o su abreviatura se coloca al principio del nombre de grupo a peticion del cliente. Por ejemplo: % GNWTraders Marketing DLS.N.MSFT IT Admins Read Finalidad de! grupo de seguridad Por titimo, se pude incluir en el nombre la finalidad empresarial del grupo y los permisos maximos que deberia tener el grupo en la red. Esta convencién de nomenciatura se suele aplicar a los grupos locales o grupos locales de dominio ios Programa Nacional de informéticaow SENATI FEF optic vit Estratogas dl seguridad «través de grupos A continuacién, se muestra un ejemplo de convencién de nomenciatura que podria utilizar Northwind Traders para identificar la finalidad del grupo de seguridad: Northwind Traders utiliza un descriptor para identificar los permisos maximos que deberia tener el grupo en la red. Por ejemplo: ‘ DLIT London OU Admins DLIT Admins Full Control Grupos de distribucién Como los grupos de seguridad se utlizan sobre todo para la administracién de la red, s0lo el personal encargado de esta tarea debe ulizar la convencién de nomenclatura. Los usuarios finales utlizan grupos de distribucién; por lo tanto, debe interesarles la convencién de nomenclatura que sigue. A definir una convencién de nomenciatura para los grupos de distribucién, tenga en cuenia los siguientes puntos: Nombres de correo electrénico + Longitud. Utilice un alias corto. Para respetar las normas actuales de datos descendentes, la longitud minima de este campo es de tres caracteres y la longitud maxima, de ocho. % Palabras ofensivas. No cree grupos de distribucién con palabras que puedan considerarse ofensivas. Si no esta seguro, no utlice la palabra. % Permitidos. Puede utilizar cualquier cardcter ASCII. Los inicos caracteres especiales permitidos son el guién (-) y el caracter de subrayado (_). % Designaciones especiales. No utilice las siguiontes combinaciones de caracteres para los grupos de distribucién: + Un carécter de subrayado (_) al principio del nombre de grupo de! alas. + Un nombre o una combinacién de nombre y apellidos que pueda confundirse fécilmente con un nombre de cuenta de usuario. Nombres para mostrar 4 Alias de usuario. Con el fin de estandarizar los nombres, no incluya un alias como parte de! nombre para mostrar (por ejemplo, Informes directos de Sfeli). Induya el nombre completo (por ejemplo, informes directos de Susana Félix). % Palabras ofensivas. No cree grupos de distribucién con palabras que puedan considerarse ofensivas. % Discusiones sociales. No deberia permitirse Ia utiizaci6n de grupos de distribucién para discusiones sociales, porque el 4rea de carpetas publicas es un medio més eficaz para transmitir y almacenar un gran numero de Comunicaciones relacionadas con discusiones sociales. Ya que un mensaje puede ser visto por varios usuarios, se minimiza el tafico de red y el almacenamiento de datos si se utiizan las carpetes piblicas en lugar de los grupos de distribucién. + Longitud. La longitud maxima de este campo es de 40 caracteres. Se aceptan abreviaturas, siempre que su significado no sea confuso. + Estilo. No ponga en mayésculas toda la descripcién, pero si la primera letra del nombre para mostrar. Utilice ortografia y puntuacion correctas. % Parte superior de la libreta de direcciones. No utilice la palabra Unia, ndimeros, caracteres especiales (sobre todo, comillas) o un espacio en blanco al inicio de la descripcién. Esto hace que aparezca en la parte superior de la libreta de direcciones. La libreta de direcciones deberia comenzar por nombres de usuario individuales que empiecen por A. Programa Nacional de Informiitica “ps2 pcicistracién y Mantenimiento de Windows Server 2008 nth Caracteres especiales. Las barras diagonales (/) se aceptan en los nombres para mostrar, pero no al inicio de los nombres de servidor. No utilice mas de un apéstrofe (') y ninguno de los siguientes caracteres especiales: "* @#$ % TOs = Posesién Un Gnico grupo de distribucion puede tener un maximo de cinco copropietarios. Implementacién de Grupos Creacion de grupos 1. Haga clic derecho en una unidad organizativa o en una zona libre del rea de trabajo. 2. Luego sefiale Nuevo y haga clic en Grupo. Deegar conta. Mover. Deno Contacte senses ThetOrgPel ver +) alg ce cos ce NWO Uniced ercanizntva Orgpriaricnos +] oeesae ales icons ae fee Carpets conserta Ayu 3. Escriba el nombre del grupo y haga clic en Aceptar. SE GR, creer en: entiets pee.stvartoutrecoreralthesion Nombre de grupos fe Tr Acrins Nombre de grupo lantern © Windows 2000): (GT Adri ‘Anitio de orupa Tho de uno © Dermnie ees! % Sequncsd © Gobal © Dstrbucéa C Universal [BEE] _ corer 124 Programa Nacional de Informeéticaow SENATI & Capitulo Vil: Estrategias de seguridad a través de grupos Puede realizar otros tipos de accién sobre un grupo, tales como: 4. Eliminacién de grupos. 2. Adicion de usuarios a un grupo. (Describiremos este proceso) a. Haga clic derecho en el grupo. b. Haga clic en Agregar a un grupo. ©. Seleccione la ficha Miembros. (EE =I Generel Membros | Miembro de | Sdmirisirada oor | d. Se mostraré el si iente cuadro de dialogo, haga clic en el botén Avanzadas. SSS Selecouonarotiotino de objata: [Ustanas, Grapes, 6 Otos cBetos Tinos de chistes, Desde este biceciin feenatiedupe Ubcacones. _Exotb jos nombres de objeto que desea selecconer istemnas) I Can varandn e. Enel cuadro de didlogo siguiente, si desea puede escribir el nombre de usuario que busca o en todo caso haga clic en el botén Buscar ahora Conitas comunes | Colurrae, Nemtie: — [Eroeecon =] fe} Destin, [Emmis oon Buscar ahore TF Deshatit sot PP Cortrssetae que runes sirran Niimese de dios rasseurides: feel time net Programa Nacional de Informética 5Pe my Administracién y Mantenimiento de Windows Server 2008 SENATI Seleccione los usuarios que necesita agregar y haga clic en Aceptar. Rombe GON) Direcsién de ox [Bris capes Equnce del domrio oeratedt pe/U 6 TT Adnins seratiedupe/o osratiedu pe/U seratiedu pe/U seratiedu.pe/U 8B, Propista dal creadar do dr Reards © antalvan senate pe 3 8! ert AB, Usuanos de! domino: Todos les usuan... seretiedu pe/U, 9. Aparecerén los usuarios seleccionados y comprobados. En esta ventana también puede escribir el nombre de usuario y utlizar el botén Comprobar nombres para verificar su existencia. Haga clic en Aceptar. 2b Scleccioner sate too de obieto: ee Sa Dende seta ubicaaiin: feeratiedups Ubeaciones. Esc los nombres de objio que des seiecconr fejnmios Comprobar namires Boepier | Canceler h. La lista se agregard a las propiedades de! grupo. Haga clic en Aceptar. ax General Neréres | Manbre de | Acris po | Miembros n Suse! Buseu2 ——senateause/oukmorese Buses tenatiad pe/ouEmprea a Programa Nacional de InforméticaFEF optic vit Estratogas dl seguridad «través de grupos idad 1 Crear grupos mediante Usuarios y equipos de Active Directory 1. Cree los siguientes grupos globales en la unidad organizativa Locations/NombreEquipolGrupos: a. G NombreEquipo Accounting Managers b. _G NombreEquipo Accounting Personnel 2. Cree los siguientes grupos locales de dominio en la unidad organizativa Locations/NombreEquipo/Grupos: a. DL NombreEquipo Accounting Managers Full Control b. DL NombreEquipo Accounting Managers Read ©. DL NombreEquipo Accounting Personnel Full Control d. DL NombreEquipo Accounting Personnel Read Ejercicio Grupal Practico (lormense grupos de 3 personas para analizar la solucién) Tomando en cuenta el ejercicio préctico desarrollado en el capitulo anterior, considere la siguiente configuracién existente y a partir de ellos cree los Grupos pertinentes, respetando los patrones y normas estudiados en el presente capitulo 1. Los siguientes usuarios ya deben existir en su empresa (Sucursal Principal). Farpaece Esereneposgo RT Jorge Tafur (Gerente General) Miguel Millano(Sub Gerente) Miguel Quispe (Gerente Técnico) Margot Donaire (Asistente Administrativo de la Gerencia técnica) Frank Molina (Supervisor Area 1 Turno mafana) Jorge Mufioz (Supervisor Area 2 Turno mafiana) Victor Mimbela (Supervisor Area 3 Turno mariana) Marcos Torres (Supervisor Area 1 Tumo noche) Francisco Dominguez (Supervisor Area 2 Tumo noche) Richard Morris (Supervisor Area 3 Tumo noche) Manuel Pacora (Contador) Susana Frey (Asistente administrativo de Contabilidad) Jared Yatac (Gerente de RRHH) Viviana Martinoti (Asistente administrative de RRHH) Lizeth Coronado (Gerente de Finanzas) Mark Romero (Asistente administrativo de Finanzas) Desire More (Gerente de Marketing) Raul Thomas (Asistente administrative de Marketing) Ménica Suarez(Promotora de Ventas) Vanesa Farfan (Promotora de Ventas) Ivan Farias (Promotor de Ventas) Martha Molina (Promotor de Ventas) Una cuenta especial para todos los obreros. 2. Se necesitara futuramente configurar diferentes permisos y derechos en carpetas compartidas, impresoras, directivas y otros, por lo que se debe crear grupos tomando en cuenta (Se deja a criterio de los integrantes del grupo) @ Crecimiento de la empresa a diferentes sucursales a nivel nacional, con la consecuente adicién de servidores y controladores de dominio. b. Carpetas compartidas que de acuerdo al grupo que representa, por ejemplo Gerentes necesitaran acceso a los diferentes carpetas de sus reas con nivel de control total, mientras que otras recursos pueden requerir s6lo lectura. De la misma manera, los supervisores quiz necesiten acceso de sélo lectura a todos los recursos de su area. Programa Nacional de Informiitica —